Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Андроид-вымогатель CovidLock маскируется под приложение, которое «позволяет в реальном времени отслеживать вспышки коронавируса на вашей улице, в городе и в штате» более чем в 100 странах.

Сайт приложения предлагает скачать и установить APK-файл:

Для повышения доверия на страницах указано, что приложение сертифицировано Министерством образования США, Всемирной организацией здравоохранения и Центром по контролю и профилактике заболеваний:

Фальшивые картинки победителя рейтинга скопированы с Google Play:

При первом запуске приложение запрашивает различные разрешения, которые в обычной ситуации могли бы вызвать подозрения, но большинство пользователей не видит в них ничего опасного, ведь программа должна оперативно информировать обо всех случаях коронавируса поблизости. В частности, приложение хочет работать в фоновом режиме, иметь доступ к экрану блокировки, а также использовать функции для людей с ограниченными возможностями.

Как только все разрешения получены, выводится вымогательское сообщение:

Автор вредоноса сообщает, что взломал телефон и требует 250 долларов США в криптовалюте, угрожая в противном случае разослать все фото и видео на смартфоне контактам жертвы.

Киберпреступники, специализирующаяся на BEC-атаках, также взяли на вооружение тему коронавируса.

В рамках одной из таких атак мошенники предложили компании сделать перевод на другой банковский счёт в связи со вспышкой опасного заболевания:

«В связи последними известиями о коронавирусе COVID-19 мы меняем банки и перенаправляем все платежи непосредственно на наш завод, поэтому, пожалуйста, оповестите о готовности платежа в адрес нашей организации, чтобы я направил вам обновленные платежные реквизиты»

Авторы другой фишинговой кампании нацелились на сторонников теории заговора, рассылая письма с «достоверной» информацией о секретных лекарствах и лечении.

Чтобы придать рассылкам легитимность, в тексте упоминается Всемирная организация здравоохранения и фамилии реальных врачей. Приложенный к письму документ на самом деле содержит вредоносное ПО, которое крадёт с компьютера жертвы конфиденциальную информацию.

Атаки и уязвимости

В корпоративных защитных решениях Trend Micro Apex One и OfficeScan XG обнаружены две уязвимости нулевого дня, которые уже используются в реальных атаках.

Уязвимость CVE-2020-8467 (9,1 баллов по шкале CVSS) позволяет удалённым аутентифицированным злоумышленникам выполнять произвольный код.

Уязвимость CVE-2020-8468 (8,0 балов по шкале CVSS) помогает обойти проверку контента, в результате чего атакующий становятся возможными манипуляции некоторыми компонентами агента клиента. Для реализации этой атаки также требуется, чтобы пользователь был аутентифицирован.

Хакеры использовали обе уязвимости для отключения продуктов безопасности и для повышения привилегий злоумышленников, которые проникли в систему иным образом.

В процессорах Intel обнаружена новая уязвимость Snoop (CVE-2020-0550), позволяющая похитить данные из внутренней памяти.

Для проведения атаки Snoop используются механизмы повышения производительности процессора:

• многоуровневый кэш,
• согласованность (когерентность) кэша,
• слежение за шиной.

Используя Snoop, атакующий может запустить вредоносный код на одном из ядер CPU, что приведёт к утечке информации из других ядер, поскольку уязвимость позволяет вредоносному код при определённых условиях вмешаться в процесс слежения за шиной и вызвать ошибки, которые и обеспечат утечку данных из процесса согласованности кэша. В отличие от Meltdown и Spectre Snoop не позволяет похитить большие объемы данных. Intel заверяет, что создать условия для проведения атаки крайне сложно.

Уязвимость в мессенджере Slack позволяла злоумышленникам провести атаки типа HTTP Request Smuggling, похитить cookie-файлы и автоматизировать перехват произвольных учетных записей.

Проблема критически важна как для платформы Slack, так и для всех клиентов и организаций, которые обмениваются личными данными, каналами и разговорами. Ошибка делала возможным создание автоматических ботов для непрерывных атак уязвимого актива Slack, перехвата сеансов жертвы и похищения всех доступных данных.

Мобильная безопасность

Вредоносные программы для Android Cookiethief и Youzicheng работают совместно, чтобы похищать cookie-файлы, сохраненные в браузере на смартфонах и в Facebook. Преступники используют их, чтобы незаметно перехватить контроль над учетной записью жертвы в социальной сети и распространять контент от ее имени.

Оказавшись на устройстве, троян Cookiethief получает права суперпользователя и передает управляющему серверу cookie-файлы браузера и установленного приложения социальной сети. Но для перехвата контроля над аккаунтом идентификатора сессии может быть недостаточно, поскольку системы защиты некоторых сайтов предотвращают подозрительные попытки авторизации в системе. Чтобы обойти эту защиту, используется второй вредонос — Youzicheng. Он запускает на устройстве прокси-сервер, обеспечивая злоумышленникам доступ в интернет с для обхода мер безопасности.
Комбинируя две атаки, злоумышленники получают полный контроль над аккаунтом жертвы, не вызывая подозрений у Facebook.

Вредоносное ПО

Вредоносная Android-программа MonitorMinor отслеживает активность пользователя в Gmail, WhatsApp, Instagram и Facebook.

MonitorMinor использует в своих целях утилиты, подобные SuperUser, которые помогают получить root-доступ к системе, а также специальные возможности системы Android — Accessibility Services, что позволяет эффективно работать в системе даже без root-полномочий.

Возможности MonitorMinor:

• отслеживание текущего местоположения жертвы,
• перехват SMS и звонков,
• отслеживания переписки в мессенджерах и сервисах электронной почты,
• наблюдение за содержимым буфера обмена,
• управление устройством с помощью SMS,
• трансляция в режиме реального времени видео с камер устройства,
• запись звука с микрофона устройства,
• показ истории посещенных страниц в браузере Chrome,
• показ статистики использования приложений,
• запись введённых символов,
• показ содержимого внутреннего хранилища устройства,
• показ списка контактов и системного журнала.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

В последние недели многим пришлось перейти на новый для себя формат работы — онлайн, удалённо, вне офиса.

Пока службы безопасности заняты подготовкой защищенных каналов связи и другой инфраструктуры, никто не помогает ответить на простые, но важные вопросы:

1. Как безопасно работать в новых для себя условиях?
2. Какие главные правила безопасности нужно знать и соблюдать?
3. Что нужно уметь, чтобы работать эффективно и не стать жертвой мошенников?

В этой статье мы собрали десять главных рекомендаций, которые помогут вам, вашим коллегам и близким работать удалённо, вне офиса, — и оставаться в безопасности.

Сергей Волдохин
автор


Андрей Жаркевич
редактор

1. Ваш компьютер и рабочее место

1.1 Идеально, если у вас есть корпоративный ноутбук — работайте только на нем. Если приходится пользоваться личным устройством — убедитесь, что на весь период работы им будете пользоваться только вы.

1.2 Блокируйте компьютер каждый раз, когда уходите с рабочего места. Даже если это место — ваша комната.

1.3 Не подключайте чужие флешки и другие USB-устройства к своему компьютеру. Даже если «очень нужно сбросить фоточки».

1.4 Если вам пришлось выйти работать в публичном месте — cмотрите по сторонам, особенно когда работаете с конфиденциальной информацией или вводите пароль. Не позволяйте посторонним стоять у вас за спиной.

2. Пароли и доступы

2.1 Научитесь выбирать и поставьте хороший пароль. Даже на личном компьютере.

2.2 Используйте разные пароли на разных сервисах. Сохраняйте их через парольные менеджеры.

2.3 Включите двухфакторную аутентификацию на всех сервисах, которыми пользуетесь.

3. Подозрительные ситуации

3.1 Уточните контакты вашей службы безопасности: куда можно позвонить или написать при подозрении на инцидент.

3.2 Отправляйте опытным коллегам все, что покажется подозрительным.

4. Безопасная работа с сайтами

4.1 Адрес любого сайта, где вы вводите пароль, должен начинаться с HTTPS.

4.2 Если видите ошибку HTTPS или что-то подозрительное, не вводите на таком сайте свои логин или пароль.

5. Обновления программ

5.1 Проверьте, что ваш антивирус, операционная система, браузер и другие приложения вовремя обновляются.

5.2 Защитите свой браузер.

5.3 Не скачивайте и не запускайте незнакомые файлы из интернета, даже если они выглядят как обновления.

6. Противодействие мошенникам

6.1 Научитесь распознавать эмоции, которые пытаются вызвать мошенники: страх, жадность, любопытство и другие.

6.2 Помните, что эти эмоции отключают критическое мышление, в результате чего вы сможете совершить действие, которые в нормальном состоянии не стали бы выполнять.

6.3 Сообщайте в службу безопасности все, что покажется подозрительным.

Прочитайте статью: Что нужно знать о фишинге.

7. Безопасная работа с почтой, ссылками, файлами

7.1 Мошенники могут выдавать себя за ваших коллег, партнеров и руководителей. Не стесняйтесь перезвонить тем, от кого якобы пришло письмо или даже сообщение в мессенджер. Работая удаленно, вы не можете подойти к человеку лично, но обязаны убедиться, что вам пишет именно он.

7.2 Научитесь отличать мошеннические письма от настоящих.

7.3 Научитесь проверять ссылки и вложенные файлы в письмах, на сайтах и в мессенджерах.

Прочитайте статью: Как узнать фишинговое письмо.

8. Обновления мобильных устройств

Проверьте и настройте автоматические обновления на своих мобильных устройствах.

9. Приложения и мессенджеры

9.1 Не устанавливайте подозрительные приложения.

9.2 Не переходите по неизвестным ссылкам со смартфона.

10. Безопасный выход в интернет

10.1 Не подключайтесь к незнакомым беспроводным сетям: лучше воспользуйтесь мобильным интернетом.

10.2 Используйте корпоративный VPN всегда, когда возможно.

Командам безопасности

Посмотрите, как организовать регулярное дистанционное обучение для своих сотрудников, а также процесс тренировки практических навыков по безопасности:

Заполните форму на сайте или напишите нам, чтобы запустить процесс за следующий рабочий день.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты

Обнаружена новая многоступенчатая мошенническая схема, в ходе которой злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт и деньги.

Получившая название «Кроличья нора» схема выглядит следующим образом:

1. На первом этапе «Кролика» мошенники в качестве приманки используют фальшивые аккаунты звёзд шоу-бизнеса, блогеров или популярных телеведущих, от имени которых объявляют конкурсы-раздачи, акции или опросы с большим призовым фондом и дорогими подарками.

2. Баннеры и контекстную рекламу с изображением знаменитостей в соцсетях таргетировали под интересы конкретного пользователя. Для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента на базе его местоположения, IP-адреса, модели устройства, user-агента. Эта ссылка срабатывает только один раз.

3. После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и поделиться своей удачей в мессенджерах или соцсетях.

4. На сайте с опросом у жертвы запрашивают адрес электронной почты, который в будущем используется для рассылки фишинговых писем и вредоносного ПО.

5. Всем жертвам, которые прошли первый этап, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в ещё одном грандиозном опросе или викторине с ещё более крупным вознаграждением.

6. На новых ресурсах уже нет упоминаний известных брендов или звёзд. Для получения награды после прохождения опроса нужно перечислить некоторую сумму — «пошлину» , «налог» или «тестовый платёж». Разумеется, жертва ничего не получает, зато теряет деньги и персональные данные.

Разделение атаки на две части и несколько ресурсов позволяет «Кроличьей норе» генерировать больше трафика благодаря использованию звёздных имён и брендов, но при этом усложнить поиск и блокировку ресурсов, на которых происходит кража денег.

Обнаружена мошенническая кампания по распространению инфостилера AZORult, эксплуатирующая тему эпидемии коронавируса COVID-19.

1. Авторы кампании создали клон сайта университета Джона Хопкинса на домене Corona-Virus-Map[.]com. На клоне в реальном времени отображаются данные о заражении коронавирусом, полученные с оригинального ресурса.
2. Для более оперативного получения обновлений посетителям предлагается загрузить приложение, не требующее установки.
3. Если пользователь загрузит и запустит приложение, в дополнение к карте распространения опасного заболевания он заразит свой компьютер вредоносным ПО AZORult, которое используется для кражи истории просмотров, куки-файлов, логинов и паролей, криптовалютных кошельков, данных банковских карт и многого другого. Он также может загружать на заражённый компьютер дополнительные вредоносные программы.

Злоумышленники продолжают эксплуатировать тему коронавируса для проведения атак на пользователей и бизнес.

Например, ориентированный на русскоязычную аудиторию фишинговый сайт vaccinecovid-19[.]com предлагал приобрести тест на заражение коронавирусом всего за 19 тыс. рублей.

С января 2020 года было зарегистрировано более 4000 доменов, связанных с коронавирусом. Из них не менее 3% были признаны вредоносными, а ещё 5% — подозрительными. Вероятность того, что домены, связанные с коронавирусами, будут использоваться для преступной деятельности, на 50% выше, чем у других доменов, зарегистрированных за тот же период, а также выше, чем у сезонных тем, подобных Дню Святого Валентина.

Атаки и уязвимости

В процессорах Intel обнаружен новый класс уязвимостей CVE-2020-0551, получивший название LVI (Load Value Injection). LVI позволяет злоумышленнику похитить ключи шифрования и пароли из защищённой памяти, а затем перехватить контроль над системой.

В отличие от уязвимостей Meltdown, Foreshadow, ZombieLoad, RIDL и Fallout при эксплуатации LVI злоумышленник внедряет данные через скрытые буферы процессора в программу-жертву для взлома и получения конфиденциальной информации.

Видео: демонстрация атаки LVI

Перехват потока управления в ходе LVI-атаки позволяет злоумышленнику обманным путём заставить жертву выполнить определённую функцию. Это работает на всех уровнях безопасности от пользовательского режима до режима ядра, от гостевого режима до суперпользователя и, возможно, даже от пользовательского режима до анклава.

Представленные Intel исправления микрокода процессоров для новой атаки значительно замедляют работу: в некоторых случаях производительность снижалась в 19 раз.

Разработаны два новых метода атак на процессоры AMD, которые влияют на безопасность обрабатываемых данных и могут привести к хищению конфиденциальной информации.

Упрощённая схема работы предсказателя переходов процессоров AMD

• Атака Collide+Probe позволяет атакующему контролировать доступ жертвы к памяти устройства, не зная физических адресов или разделяемой памяти, во время разделения времени в логическом ядре процессора.
• Атака Load+Reload использует предсказатель переходов для получения высокоточных следов доступа жертвы к памяти на том же физическом ядре.

Новые методы предполагают проведение программных атак, для которых необходима возможность выполнить код с низкими привилегиями. Атака Collide+Probe также может быть исполнена удалённо через браузер без взаимодействия с пользователем.

В ходе тестирования удалось запустить вредоносный процесс, который использовал скрытый канал извлечения данных для хищения информации из другого процесса. Скорость передачи составила 588,9 Кб/сек.

Thanks a lot for your work! I find it hard to read a paper which is irrelevant to my profession. Is this vulnerability as severe as Meltdown or Zombieload?

— l? ?aao (@gnyueh) March 7, 2020

Один из экспертов, обнаруживших атаку, признал в своём Twitter, что найденные уязвимости значительно менее опасны по сравнению с Meltdown и Zombieload в процессорах Intel, позволяющих «сливать тонны данных».

В протоколе Microsoft Server Message Block (SMB) обнаружена уязвимость CVE-2020-0796, позволяющая неавторизованному злоумышленнику удалённо выполнить произвольный код на сервере.

CVE-2020-0796 — a "wormable" SMBv3 vulnerability.
Great...
pic.twitter.com/E3uPZkOyQN

— MalwareHunterTeam (@malwrhunterteam) March 10, 2020

Проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. CVE-2020-0796 делает системы уязвимыми к червеобразным атакам, подобным тем, которые использовали WannaCry и NotPetya, перемещавшиеся от одного пользователя к другому.

Уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.

О сроках исправления уязвимости на данный момент не сообщается. В качестве временной меры Microsoft предлагает отключить компрессию SMBv3 и заблокировать TCP-порт 445.

Вредоносное ПО

В мошеннических кампаниях против России, Японии и Южной Кореи используется написанное 10 лет назад вредоносное ПО.

Атака начинается с фишинговых писем с приглашениями на различные мероприятия. Во вложении содержится вредоносный RTF-документ research.doc, устанавливающий на компьютер жертвы файл winhelp.wll — загрузчик Bisonal, созданного в 2010 году троянского ПО для удалённого доступа к заражённой системе. Документы на русском посвящены исследованиям, на корейском и японском — правительственным организациям.

Инциденты

Велосипедиста из Флориды обвинили в краже, которую он не совершал, на основании данных геолокации его фитнес-трекера.

Велосипедист никогда не бывал в ограбленном доме, однако регулярно проезжал мимо. Функция геолокации приложения RunKeeper зафиксировала это и направила сведения в Google, которая передала их полиции в соответствии с предъявленным ордером geofence на выдачу сведений об устройствах, находившихся рядом с местом преступления. Жертва ограбления, женщина, 97 лет, лишилась имущества на сумму около 2400 долларов США, включая обручальное кольцо и другие драгоценности, и ничего не подозревавший велосипедист был в растерянности из-за того, что полиция посчитала его причастным к краже со взломом.

В конечном счёте подозрения с мужчины были сняты, однако для этого ему пришлось нанять адвоката, который помог ему разобраться в произошедшем.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.